Если вы точно следовали инструкциям в этой статье, но настройку выполнить не получилось, просим написать нам на CorpTechSupport@1c.ru с подробным описанием проблемы, которая у вас возникла.
Я бы начал с имеющихся логов всех участвующих систем.
(2) Сам недавно отстраивал с локальным сервером, но отсутствие внятной информации по ошибкам вводило в ступор.
"Я бы начал с имеющихся логов всех участвующих систем." - ставил настройки прокси на уровне сервера и все запросы перехватывал через fiddler.
Если через тех журнал, то пример .xml можете подсказать?
(0) По flow, если прошли аутентификацию, то по идее получен JWT ключ, который должен быть проверен на валидность сервером 1С. В браузере смотреть в LocalStorage.
В полученном JWT ключе должен присутствовать ключ "upn", который соответствует имени пользователя.
(6)Отвечу сам себе. Может пригодится.
Провайдер OpenID Connect для платформы 1С:Предприятие является только аутентификатором. Т.е. после аутентификации, контекст параметров payload ответа провайдера недоступен. Поэтому, получить программно ответ провайдера невозможно.
Как один из вариантов по программной установке прав, Вы можете использовать Microsoft Graph API для доступа к функциональности Active Directory в регламентном задании. Т.е. выполнять установку прав не при входе пользователя, а при выполнении служебных действий.
Пример использования запроса API:
user: getMemberGroups - Microsoft Graph v1.0 | Microsoft Docs
https://docs.microsoft.com/ru-ru/graph/api/user-getmembergroups?view=graph-rest-1.0&tabs=http
Идентификатор пользователя, который можно использовать с параметром username_hint. Не является долговременным идентификатором для пользователя и не должен использоваться для уникальной идентификации пользовательских сведений (например, в качестве ключа базы данных). Вместо этого используйте в качестве ключа базы данных идентификатор объекта пользователя (oid). Пользователи, которые входят с альтернативным идентификатором входа, не должны видеть своего имени участника-пользователя (UPN). Вместо этого используйте для показа состояния входа пользователю следующие утверждения идентификационного маркера: preferred_username или unique_name для маркеров версии 1 и preferred_username для маркеров версии 2.
С использованием preferred_username - работает.
Для этого, после регистрации приложения в «App registrations», необходимо:
1. в разделе Authentication отметить оба пункта:
Select the tokens you would like to be issued by the authorization endpoint:
* Access tokens (used for implicit flows)
* ID tokens (used for implicit and hybrid flows)
2. В разделе "Token configuration" добавить "Optional claims" -
preferred_username
2.1 В разделе Enterprise Application - Permissions нажать кнопку "Grant admin consent for ...", иначе каждого пользователя при первом входе будет просить о разрешении для Application.
3. В файле default.vrd
"authenticationClaimName": "preferred_username",
"authority": "https://login.microsoftonline.com/<tenant>",
4. Имя пользователя в 1С должно быть в полном формате: <username>@<domain>
Добрый вечер ,
Делаю публикацию 1с +ADFS , после авторизации ADFS выдается ошибка:
Cannot execute OpenID Connect authentication. Check whether the connection settings are correct. User identification failed Invalid user name
Подскажите в какую сторону копать ?